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Kleine Anfrage 

der Abgeordneten Jimmy Schulz, Frank Sitta, Renata Alt, Nicole Bauer, 

Jens Beeck, Nicola Beer, Dr. Jens Brandenburg (Rhein-Neckar), 

Mario Brandenburg, Britta Katharina Dassler, Bijan Djir-Sarai, Hartmut Ebbing, 
Dr. Marcus Faber, Daniel Föst, Otto Fricke, Thomas Hacker, Markus Herbrand, 
Katja Hessel, Manuel Höferlin, Reinhard Houben, Olaf in der Beek, Ulla Ihnen, 
Thomas L. Kemmerich, Pascal Kober, Carina Konrad, Ulrich Lechte, 

Oliver Luksic, Till Mansmann, Alexander Müller, Roman Müller-Böhm, 

Hagen Reinhold, Dr. Wieland Schinnenburg, Matthias Seestern-Pauly, 

Judith Skudelny, Bettina Stark-Watzinger, Benjamin Strasser, Linda Teuteberg, 
Michael Theurer, Stephan Thomae, Nicole Westig und der Fraktion der FDP 


Maßnahmen gegen Spionageschnittstellen in Computerhardware der 
Bundesverwaltung 


Am 4. Oktober 2018 berichtete das US-amerikanische Magazin Bloomberg Bu- 
sinessweek (www.bloomberg.com/news/features/2018-10-04/the-big-hack-how- 
china-used-a-tiny-chip-to-infiltrate-america-s-top-companies, letzter Abruf: 
5. Oktober 2018), dass bereits im Jahr 2015 Amazon und Apple sogenannte Su- 
permicro-Chips auf den Mainboards, die bei der Herstellung der Server Infrastruk¬ 
tur ihrer Cloudservices Amazon Web Services (AWS) beziehungsweise iCloud 
verwendet werden, entdeckt hätten. Zunächst sei Amazon während einer Due Dil- 
ligence-Prüfung im Rahmen des Übemahmeprozesses des US-Softwareuntemeh- 
mens Elemental Technologies auf die kleinen Chips aufmerksam geworden. Die 
Komponenten seien an unauffälligen Stellen platziert worden, hätten lediglich die 
Größe eines Reiskorns und ähnelten Signalkopplern (je nach Quelle auch Kon¬ 
densatoren), welche häufig in Mainboards (zentrale Platine eines Computers, wel¬ 
che alle Komponenten miteinander verbindet) verbaut werden. Eine Überprüfung 
der Zulieferkette habe ergeben, dass die Chips von Supermicro verbaut worden 
seien — eine Finna mit Sitz in den USA und Fertigungsstätten in China. Ermitt¬ 
lungen hätten ergeben, dass unter anderem die Komplexität der Hardware-Atta¬ 
cke auf die Arbeit einer entsprechenden Spezialabteilung in der chinesischen 
Volksbefreiungsarmee hindeuten würden. Die Chips seien dann während des Fer¬ 
tigungsprozesses der Hardwarekomponenten installiert worden. 

In den Servern der Unternehmen verbaut, hätten diese Chips Datensätze auf dem 
Weg zum Prozessor abfangen und an anonyme externe Computer kommunizieren 
können. Zudem hätten die Chips das System so modifizieren können, dass dieses 
von sich aus anfangen könnte, Daten an fremde Server auszuleiten - so die An¬ 
gaben von Bloomberg. 
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Auch wenn die Angaben aus dem Bericht noch nicht bestätigt wurden, so stellen 
sich hinsichtlich der Kompromittierbarkeit von Hardware bei der Anschaffung 
Fragen nach den Sicherheitsmaßnahmen ein solches Szenario zu verhindern in 
der bundesdeutschen Verwaltung. 

Wir fragen die Bundesregierung: 

1. In welchen Behörden und Ministerien des Bundes (bitte auflisten) ist oder 
war Hardware des chinesischen Herstellers Supermicro in Betrieb? 

2. Haben die amerikanischen Sicherheitsbehörden, die an der Aufklärung die¬ 
ses Falls laut Medienberichten seit 2015 arbeiten, die deutschen Sicherheits¬ 
behörden über dieses Sicherheitsrisiko informiert? 

a) Falls ja: Wann hat diese Information stattgefunden? 

b) Falls ja: Welche Behörden wurden informiert? 

c) Falls ja: Welche Maßnahmen wurden getroffen (bitte nach Ministerien 
aufschlüsseln)? 

d) Falls nein: Warum nicht? 

e) Falls nein: Welche regelmäßigen Austauschformate im Bereich IT-Si- 
cherheit existieren? 

f) Falls nein: Sieht die Bundesregierung sich in der Pflicht aktiv nachzufra¬ 
gen? 

Ist dies passiert? 

3. Welche Maßnahmen werden beim Einkauf von Computerhardware für Bun¬ 
desbehörden getroffen, um Spionagetätigkeiten durch manipulierte Hard¬ 
ware auszuschließen? 

4. Ist es zutreffend, dass die Hardware und Software in den sicherheitseinge¬ 
stuften Behördennetzwerken des Bundes wie z. B. dem Informationsverbund 
Berlin-Bonn (IVBB) nach dem Sicherheitsstandard EAL4+ zertifiziert ist 
(https://de.wikipedia.org/wiki/Cornmon Criteria for Information Technology 
Security_Evaluation)? 

Welche Behördennetzwerke sind nach höheren Standards geprüft? 

5. Werden im Rahmen der genannten Sicherheitsstandards in der Antwort auf 
Frage 4 Computer auf eingeschleuste Spionagehardware geprüft? 

Wenn ja, wer führt diese Prüfung durch? 

6. Werden alle eingekauften Hardwarekomponenten auf eingeschleuste Fremd- 
Hardware geprüft? 

a) Falls ja, auf welche Weise und mit welcher Technologie passiert diese 
Prüfung? 

b) Falls nur stichprobenartig geprüft wird: Wie viel Prozent der Hardware 
wird überprüft? 

c) Falls ja, finden die in Frage 6a und b genannten Überprüfungen standard¬ 
mäßig im Rahmen der Zertifizierung nach Sicherheitsstandard EAL4+ 
statt? 

d) Falls nein, warum wird diese Prüfung nicht durchgeführt? 

7. Welche sonstigen Zertifizierungen sind notwendig für den Betrieb von Hard¬ 
ware im sicherheitsrelevanten Bereich? 
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8. Welche Prüfungen erfolgen beim Einkauf von Computerhardware für Behör¬ 
den oder Ministerien des Bundes in Bezug auf die Sicherheit der Hardware 
nach Lieferung? 

9. Welche Prüfungen erfolgen beim Einkauf von Computerhardware für Behör¬ 
den oder Ministerien des Bundes in Bezug auf die Sicherheit der Firmware 
von Systemkomponenten wie z. B. dem (UEFI)BIOS (Unified Extensible 
Firmware Interface Basic Input Output System)? 

10. Wie gedenkt die Bundesregierung in Zukunft sicherzustellen, dass keine 
Fremdhardware, z. B. zu Spionagezwecken, in Computerhardware für den 
behördlichen Einsatz eingebracht wird? 

11. Welche zusätzlichen Sicherheitsprüfungen plant die Bundesregierung für 
Computerhardware, die zukünftig erworben werden soll? 

12. Werden Computersysteme der Bundesregierung oder der Behörden und Mi¬ 
nisterien regelmäßig auf Fremdhardware im Rahmen von IT-Sicherheitsau- 
dits überprüft (siehe insb. die laut Bundestagsdrucksache 19/2252 Frage und 
Antwort 13a regelmäßig durchgeführten Tests)? 

Berlin, den 17. Oktober 2018 

Christian Lindner und Fraktion 
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